El cortafuegos humano
Socio director S2 Grupo
Finalmente, hay un consenso generalizado sobre la necesidad de proteger a las organizaciones de las amenazas que provienen de la ciberdelincuencia. Sin embargo, muchas empresas, especialmente las más pequeñas, siguen sin tener, no ya una estrategia de ciberseguridad, sino ni siquiera un mínimo de mecanismos de control y vigilancia que sirvan para prevenir o identificar un ataque.
En gran parte, esta situación se debe a la complejidad del conocimiento necesario y a la escasez de profesionales formados adecuadamente. La simple implantación de hardware o software comercial, sin más, puede ser contraproducente, si la configuración no se realiza correctamente o no se mantiene en el tiempo.
Aun así, la ciberseguridad de la organización no depende solo de las medidas técnicas que se implanten; en gran medida, depende de las personas o, en términos “informáticos” de los usuarios. Se suele decir que el usuario es el eslabón más débil de la cadena, puesto que no usa la tecnología de la manera correcta, provoca situaciones de riesgo y sucumbe ante las trampas que los delincuentes diseñan para ellos. Como se ve, una perspectiva bastante negativa del problema.
Evidentemente, el usuario –y todos lo somos en un momento dado– incurre en situaciones de riesgo porque desarrolla funciones de negocio. Si no realizara ningún trabajo, no cometería errores, pero es evidente que eso está fuera de cuestión.
Si asumimos un punto de vista centrado en el usuario, nos daremos cuenta de que la seguridad es, por decirlo en palabras llanas, un incordio. Usándola como justificación, se limita nuestro acceso a los recursos necesarios para desarrollar nuestro trabajo, nos vemos obligados a recordar contraseñas y a renovarlas, no podemos utilizar todas las herramientas de productividad personal que nos vendrían tan bien para incrementar la nuestra y no se nos deja acceder a sitios web y redes sociales que nos ayudan a mantenernos en contacto con otras personas, lo que redundaría en beneficio de la organización.
En resumen, se nos hace la vida más complicada e incómoda, con una justificación genérica que alude a la seguridad y encima, parece que somos la causa principal de todos los problemas para los especialistas.
Un enfoque diferente y mucho más provechoso consistiría en considerar al usuario como parte de la solución en lugar de como parte del problema. Convirtámoslo en un aliado en la lucha contra los ciberdelincuentes.
En primer lugar, es necesario hacerle consciente de los riesgos a los que está expuesto. No se trata de asustarle, sino de concienciarle. Hay que hacerle partícipe del conocimiento, evitando la sobreprotección simplificadora del “no toques nada”. Un usuario concienciado identificará los síntomas de un ataque, como correos sospechosos o entornos de riesgo en dispositivos móviles y puede pasar de ser el atractor de los desastres a colaborar activamente como un integrante del sistema de defensa.
Una vez convencido del por qué de la seguridad, se debe formar a las personas, para que sepan cómo identificar y neutralizar los ataques y de qué herramientas disponen.
Por último, sería ideal que el usuario participara en ciberejercicios en entornos de simulación, lo que permitirá ampliar sus responsabilidades en el uso y protección de la información.
De ahí el título de este artículo. Se trata de convertir al usuario en un cortafuegos humano (“human firewall”). Tenemos en nuestras organizaciones un montón de recursos inestimables para defender nuestros activos de información: ¿A qué esperamos para activarlos?.